Анализатор трафика

Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Во время работы сниффера сетевой интерфейс переключается в т.н. «режим прослушивания» (Promiscuous mode), что и позволяет ему получать пакеты, адресованные другим интерфейсам в сети.

Перехват трафика может осуществляться:

• обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
• подключением сниффера в разрыв канала;
• ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;
• через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
• через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

• Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
• Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).
• Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
• Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами)

Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

См. также

• Вардрайвинг
• Рыбалка со спутника

Ссылки

• Сниффинг в сетях с коммутаторами (свитчами)
• Packet Sniffing FAQ (by Robert Graham)
• Sniffer — Basics and Detection
• Снифферы — Полная информация о снифферах на русском

• Снифферы:
  • Aircrack-ng
  • Wireshark
  • tcpdump
  • pcap — библиотека
  • Iris
  • WinDump
  • NSA — Мониторинг IP сетей NSA "ИнноВинн".
  • Sniffit — Самый первый снифер, получивший широчайшую популярность. Тестировался на следующих ОС: GNU/Linux, SunOS, Solaris, FreeBSD, IRIX. В 1990-х годах был синонимом слова sniffer.
  • Ultra Network
  • Sniffer
  • Analyzer (Windows)
  • Packetyzer
  • Network General — Sniffer Technologies
  • IPDump2, a portable packet sniffer - ссылка не работает
  • LanGrabber — сниффер извлекающий файлы из сетевого трафика
  • Observer
  • Xplico Open source Internet Traffic Decoder (NFAT)
  • 0x4553-Intercepter
  • pTraffer Система сбора, индексирования и поиска информации с оповещением о появлении ключевых слов
  • Network Instruments GOSS, WOSS

ast:Sniffer de:Sniffer el:Packet sniffer en:Packet analyzer es:Packet sniffer eu:Sniffer fi:Snifferi fr:Packet sniffer gl:Sniffer he:רחרחן id:Sniffer Paket it:Sniffing ja:LANアナライザ jv:Sniffer Paket ka:სნიფერი ko:패킷 애널라이저 nl:Packet sniffer pl:Sniffer pt:Sniffing sv:Sniffer uk:Аналізатор трафіку vi:Chương trình nghe trộm gói tin zh:嗅探